查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《经济法论丛》
数据处理行为的法律规制研究
【副标题】 基于《网络安全法》的考察
【英文标题】 Legal Regulation of Data Processing: Base on Cyber Security Law of PRC
【作者】 丁道勤【作者单位】 京东集团法务部{政策研究总监,博士}
【分类】 行政管理法【中文关键词】 网络安全法;数据处理;法律规制
【期刊年份】 2017年【期号】 1(第1期)
【总期号】 总第二十九期【页码】 325
【摘要】

《网络安全法》首次从法律层面对数据处理行为进行了明确规定,包括数据处理的主体、个人信息范围、数据收集和使用规则、数据处理规则及数据跨境流动等法律制度。《网络安全法》的“大数据条款”为数据交易和数据流通的大数据产业提供了发展空间,但个人信息范围仍很广泛,个人信息界定缺乏明晰的标准,数据处理的匿名化处理标准仍有待明确,个人信息泄露毁损丢失的“双告知”制度会不合理增加运营成本,甚或引发用户恐慌,个人信息删除更正权存在容易被滥用的风险,跨境数据流动中的重要数据范围界定仍有待明确。建议采取“合理识别”原则确定个人数据范围,遵循“合理匿名化”标准进行数据匿名化处理,实施分级分类管理,制定跨境数据流动配套规则等,进一步完善数据处理法律规制的后续配套制度。

【全文】法宝引证码CLI.A.1225939    
  目次
  一 《网络安全法》有关数据处理的主要制度
  (一)数据处理主体制度
  (二)个人信息的界定和范围
  (三)数据收集和使用规则:合法、正当、必要、知情同意
  (四)数据处理规则
  (五)数据跨境流动
  二 《网络安全法》数据处理制度简评
  (一)数据处理制度为数据交易和数据流通的大数据产业提供发展空间
  (二)个人信息范围仍很广泛
  (三)数据匿名化处理标准仍有待明确
  (四)网络产品服务安全风险和个人信息泄露、毁损、丟失的强制告知用户和报告义务会增加运营成本,甚或引发用户恐慌
  (五)个人信息删除更正权容易被滥用的风险
  (六)跨境数据流动中的重要数据范围界定仍有待明确
  三 完善数据处理法律规制建议
  (一)釆取“合理识别”原则确定个人数据范围
  (二)数据匿名化处理应遵循“合理匿名化”标准
  (三)实施分级分类管理,制定跨境数据流动配套规则
  结语
  随着云计算、虚拟现实、人工智能等新一代信息网络技术的飞速发展,特别是大数据已被广泛应用于金融、征信、广告、医疗等社会各个领域,我国曾出台了众多有关数据保护方面的立法[1],但如何对数据处理行为[2]进行有效法律规制,仍是业界非常关注的问题。2016年11月7日全国人大官网公布了《中华人民共和国网络安全法》(下文简称《网络安全法》)全文[3]。经过向社会公开征求意见的一审稿、二审稿(及网上部分非官方发布的三审稿)后,《网络安全法》如期而至。《网络安全法》全文共七章七十九条,第四章专门规定了网络信息安全,这对大数据应用监管具有重要指引作用。本文拟从《网络安全法》的相关规定和要求出发,探讨数据处理的法律监管问题。
  一 《网络安全法》有关数据处理的主要制度
  作为网络安全领域的基本法,《网络安全法来自北大法宝》的国情特色、国际化及法制化等特点鲜明。《网络安全法》总结了国家网络安全工作经验,针对实践中存在的突出问题,将近年来一些成熟的做法作为制度确定下来,为开展网络安全工作提供了法律保障,如第二章的网络安全等级保护制度体现了国情因素,网络安全战略和关键信息基础设施及个人信息保护等制度体现了国际化因素。同时,《网络安全法》也将当前的一些制度进行了法制化,如将现行有效的网络安全监管体制法律化,将2012年《全国人大常委会关于加强网络信息保护的决定》中规定的网络信息保护制度法制化。《网络安全法》对网络安全的定位和目标、管理体制机制、主要制度、监督管理等基本问题也做出了明确规定,勾勒出了我国网络安全保护工作的思路:“以关键信息基础设施保护为重心,强调落实运营者责任,注重保护个人权益,加强动态感知快速反应,以技术、产业、人才为保障,立体化地推进网络安全工作。”[4]《网络安全法》的“大数据条款”等制度首次从法律层面对数据处理行为进行了明确规定,成为数据处理法律规制的重要基本法[5]。
  (一)数据处理主体制度
  《网络安全法》规定了众多数据处理主体,如“网络运营者”、“网络产品和服务提供者”、“电子信息发送服务提供者”和“应用软件下载服务提供者”、“关键信息基础设施的运营者”等,这些主体都需要承担相应的数据处理责任。从范围来说,“网络运营者”是一般网络主体,其范围应当包括后面三个主体,也即“网络产品和服务提供者”、“电子信息发送服务提供者”和“应用软件下载服务提供者”及“关键信息基础设施的运营者”都属于“网络运营者”这个大范围的主体。
  1.网络运营者数据处理责任
  ①一般性义务。网络运营者应当守法尊德,诚实守信(第9条),遵守“九不准”(第12条第2款)。②网络安全等级保护义务。网络运营者应当符合网络等级保护制度要求,确定负责人、采取技术措施、留存相关的网络日志等安全保护义务(第21条)。该项义务是对目前已实行的信息系统安全等级保护制度的法定化。例如,1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,确立了计算机信息系统安全等级保护制度。1999年公安部颁布了《计算机信息系统安全保护等级划分准则》。2007年公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合发布的《信息安全等级保护管理办法》,明确了信息安全等级保护的具体要求。③网络实名制义务。网络接人、域名注册服务、电话入网手续、信息发布服务、即时通讯等网络运营者负有网络实名制义务(第24条)。《网络安全法》在《全国人大常委会关于加强网络信息保护的决定》的基础上,特别增加了“即时通讯”服务实名制要求。④网络事件应急预案,及时补救报告义务(第25条)。⑤网络侦听协助义务。网络运营者为公安、安全机关依法维护国家安全和侦查犯罪提供技术支持和协助(第28条)。⑥用户发布信息管理义务和违法信息的停止传输、及时处置及保存记录报告义务。网络运营者负有网络用户发布信息的管理义务(第47条),与电子信息发送服务提供者和应用软件下载服务提供者一样履行安全管理义务,但对于含有法律法规禁止发布和传输的信息,虽然网络运营者与电子信息发送服务提供者和应用软件下载服务提供者都须立即停止传输,消除处置防扩散,保存记录并报告,但二者的义务又不尽相同,网络运营者是承担主动性义务,即主动性的“发现”义务,而电子信息发送服务提供者和应用软件下载服务提供者是被动性的“知道”义务(第48条)。⑦网络信息安全投诉举报义务。建立制度,公布投诉举报方式信息,及时受理并处理投诉举报的义务(第49条)。
  2.网络产品和服务提供者(含电子信息发送服务提供者和应用程序下载服务提供者)数据处理责任
  ①不得设定恶意程序。第22条第一款和第48条第1款都规定了该义务,同时第60条规定了相应的罚则。②网络产品服务安全缺陷漏洞风险的及时补救和“双告知”义务(及时告知用户并向有关主管部门报告)。网络产品和服务安全缺陷漏洞风险的主动发现义务,发现后立即补救,履行及时“双告知”义务(第22条第一款)。③网络产品服务持续安全维护义务。该项义务的立法情景是解决和应对类似微软宣布XP服务更新事件,第22条第二款明确规定了法定和约定期限内的持续安全维护义务。④收集用户信息功能的明示同意义务。该项义务多在用户协议情景下,明确提示用户并取得同意。本处的“用户信息”的范围大于用户个人信息范围(第22条第3款)。⑤网络关键设备和专用产品合格义务。须遵守强制性标准,并先经合法认证和检测(第23条)。⑥不得非法侵入他人网络、干扰他人网络正常功能、窃取网络数据(第27条)。⑦不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具(第27条)。⑧明知他人从事危害网络安全的活动,不得为其提供技术支持、广告推广、支付结算等帮助(第27条)。第27条规定的本项义务是移植《刑法修正案》(九)第29条明确规定的“帮助信息网络犯罪活动罪”规制的行为类型。
  3.关键信息基础设施运营者数据处理责任
  ①建设“三同步”义务。主要移植我国《电信条例》所规定的“同步规划、同步建设、同步使用”义务(33条)。②一般性义务。即在网络安全等级保护义务基础上,还须履行人员安全背景审查、教育培训考核、容灾备份、应急演练等一般性义务(第34条)。③网络产品和服务采购的国家安全审查义务。采购网络产品和服务时可能影响国家安全的国家安全审查义务(第35条)。④网络产品和服务采购的安全保密义务(第36条)。⑤个人信息和重要数据境内存储义务,也即“数据本地化存储义务”(第37条)。⑥个人信息和重要数据境外提供的安全评估义务。一般情况下不允许个人信息和重要数据跨境提供,确需境外提供的,需要依法进行安全评估(第37条)。⑦年度风险检测评估及报告义务。自行或委托合格机构进行风险的检测评估(第38条)。
  (二)个人信息的界定和范围
  国外有关个人信息的立法多从“识别”角度将个人信息界定为“直接或间接识别的数据主体(自然人)的相关信息”。[6]2012年12月28日发布的《全国人大常委会关于加强网络信息保护的决定》没有明确定义“个人信息”,而是通过“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”来描述。
  《网络安全法》设专章规定了“网络信息安全”,针对用户个人信息保护提出了大量具体要求,将个人信息保护明确纳入网络产品和服务提供者实施网络安全风险管理的必要内容,具有重要影响。《网络安全法》使用了“用户信息”、“网络数据”和“个人信息”等几个概念,在附则对“网络数据”和“个人信息”进行了界定。《网络安全法》定义的“个人信息”是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,范围“包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。
  (三)数据收集和使用规则:合法、正当、必要、知情同意
  对于数据收集环节,《网络安全法》规定了合法、正当、必要、知情同意原则。
  1.收集使用个人信息的“合法、正当、必要”义务
  网络运营者收集和使用个人信息,必须是“合法的、正当的、必要的”,“最小够用”,即不得收集与服务无关的信息,不得违法或违约收集使用个人信息(第41条)。
  2.收集使用个人信息的知情词意义务
  网络运营者收集使用个人信息,须公开收集使用规则,明示目的、方式和范围,征得被收集人的同意(第41条第一款)。
  (四)数据处理规则
  在数据处理环节,《网络安全法》主要规定了禁止擅自对外提供,数据处理匿名化,删除更正,禁止非法获取、出售和非法提供等内容。
  1.未经同意不得擅自对外提供的义务
  除了规定网络运营者不得泄露、篡改、毁损的一般性义务外,还规定了,未经被收集者同词意不得向他人提供个人信息。换言之,征得被收集者同意的,可以向他人提供个人信息(第42条第1款)。
  2.数据处理的匿名化原则
  笔者认为第42条规定“匿名化处理且不能复原的除外”,属于“大数据条款”。即“经过处理无法识别特定个人且不能复原的”可以向外提供。此处的“无法识别”应该包含“直接识别”和“间接识别”,“直接识别”是指直接凭借数据本身就能够指向特定个人,例如个人姓名、身份证号码等,“间接识别”是指需要将数据结合其他数据后才能指向特定的个人。例如有关个人的地理位置信息,可结合其他数据识别特定个人(第42条第1款)。
  3.泄露毁损丟失的及时补救和“双告知”义务
  网络运营者具有信息安全保护义务,防止个人信息泄露、毁损和丢失。发生或可能发生的,必须履行及时补救和“双告知”(及时告知用户并向有关主管部门报告)(第42条第2款)。
  4.删除更正权
  赋予个人享有对于网络运营者违法或违约收集使用个人信息的“删除权”和“更正权”(第43条)。
  5.不得非法获取、非法出售和非法提供个人信息
  本项义务主体不是网络运营者等特定数据处理主体,而是任何个人和组织等一般性主体都负有的义务(第44条)。
  (五)数据跨境流动
  近年来,国内相关监管部门已开始关注到数据境内留存问题,在征信、地图、金融、医疗卫生、网络出版及网约车等特殊领域,都明确要求相关数据必须在境内存放和留存,如《征信业管理条例》24条规定的“征信数据”即征信机构对在中国境内采集的信息的整理、保存和加工,应当在中国境内进行;《地图管理条例》34条规定的“地图数据”,即互联网地图服务单位应当将存放地图数据的服务器设在中国境内;中国人民银行《

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1225939      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多